关注云数据加密,保护您的企业
已发表: 2023-08-03尽管基于云的安全漏洞和风险持续激增,但随着企业不断将应用程序和数据迁移到云端,大量云数据仍未受到保护。 据调查显示,目前只有 45% 的敏感云存储数据经过加密。 然而,39% 的受访者在过去一年遇到过云安全漏洞。
云数据加密是在数据传输到云端之前对数据进行封装和重新排列,这一点至关重要。 它保证无论数据是否丢失、被盗或无意共享,如果没有加密密钥,其内容实际上都是无关的,只有授权用户才能访问。
了解云数据加密的含义
云加密是一种数据安全机制,可将明文数据加密为难以理解的密文,以确保数据在云环境之间或内部传输时安全可靠。 数据在迁移到云之前或在两个云之间移动时会被加密。
加密是一种简单但有效的方法,可防止在不幸发生泄露时对存储在云中的敏感数据进行未经授权的访问。 即使数据被盗,这些犯罪者也无法破译加密文件中的信息。
重要的是,云数据加密无法防止数据泄露,它只是使数据泄露对您的企业造成的危险大大降低。
然而,由于需要更大的带宽,加密会增加云存储提供商的费用。 这是因为在将数据传输到云(并最终传输到客户)之前必须实施加密。 因此,许多供应商限制其云加密产品,并且一些客户在将数据上传到云之前在本地保护其数据。
加密被认为是组织网络安全策略中最强大的元素之一。 除了保护数据免遭利用之外,它还解决了以下其他关键安全问题:
- 遵守监管保密和安全标准
- 增强保护,防止未经授权访问公共云其他租户的数据
- 在某些情况下,保护组织免于披露违规行为或其他安全事件。
为什么迫切需要云数据加密?
随着数据和工作负载快速迁移到云端,控制和保护敏感数据变得更加困难。 自 2020 年以来,86% 的企业扩大了云计划的范围和规模。 然而,加密功能仍然存在缺陷,这就是 Forrester 最近强调保护云数据的重要性的原因。
1.更严格的合规和审核要求
大多数企业需要遵守严格的隐私法规,例如 PCI-DSS、GDPR、CCPA、GLBA、HIPAA 等。过去,这些要求是通过将数据存储在本地、气隙系统中来满足的,这在现实中是不可行的。云环境。
2. 混合云和多云阻碍了可见性
多云部署意味着信息存储在多个站点,包括 AWS、Azure、GCP、Salesforce、SAP 等。这导致缺乏对数据的完整可见性,并且需要大量的管理协助来处理和监控数据迁移。
3.从遗留应用程序迁移到云使密钥管理变得复杂
直到最近,一些组织还依赖于遗留软件、本地软件或商业现成 (COTS) 软件。 当涉及到云迁移时,他们完全依赖 ISV 来迁移应用程序,而无需修改或重组。 COTS 应用程序缺乏 BYOK(自带密钥)的概念,如果客户端希望承担加密的所有权,这就会出现问题。
只有 14% 的企业确信他们控制着基于云的数据的所有加密密钥。 在全球范围内,近三分之二 (62%) 的受访者拥有五个或更多基本管理系统,导致复杂性增加。
因此,云数据加密的战略方法和集中式解决方案是必要的。
4. 对云数据的访问通常不受控制
不幸的是,尽管身份和访问管理 (IAM) 在防止数据入侵方面发挥着至关重要的作用,但它并不总是在云中执行。 如果没有加密,您的数据很容易落入坏人之手。 令人惊讶的是,全球只有 41% 的组织实施了零信任云基础设施访问控制! 更少的组织 (38%) 在其云网络内部署此类控制。
5.没有云数据加密解决方案导致云采用率低
大多数企业缺乏将敏感信息与非敏感数据分开的可靠方法。 由于缺乏加密框架经验,他们认为在将结构化和非结构化数据上传到云之前必须对其进行加密。 这总体上减少了云的采用。
6. 集成变得更简单、更安全
在云环境中工作的组织经常使用应用程序编程接口或 API 来管理其在线系统的各个方面。 无论是内部还是外部,安全协议不足的 API 都会带来风险,尤其是在传输信息时。 云中的加密服务可以帮助减轻不安全的 API 带来的风险,使您能够自信地构建集成环境。
(下载白皮书:制定云数据管理策略的 5 个步骤)
企业需要两种类型的云数据加密
所有云数据加密工具和协议都可以分为两大类:对称或非对称。 在第一种方法中,仅使用一个密钥来加密和解密明文。 举一个简单的例子,单词“fog”可以通过按字母顺序将每个字母推进一个位置来编码 - 到“gmh”。
它足够复杂才能保证安全,但又足够基本才能保证快速。 要想猜出钥匙,需要无数次的尝试。 然而,这种单密钥方法更容易受到损害。
在非对称数据加密中,编码和解码都是使用链接的私钥和公钥对进行的。 这类似于带有编码钥匙的锁:您可以在不学习代码的情况下保护它(通过公钥),但只有理解代码(即私钥)的人才能解锁它。
如今,人们使用传输层安全 (TLS) 等非对称方法,因为它们不易受到渗透。
与对称加密相比,非对称加密最显着的缺点是它通常速度较慢。 在云数据安全方面,公司需要在两者之间做出明智的选择。 需要快速但不传输敏感信息的工作负载(例如云上的视频会议)可以很好地使用对称云数据加密。
另一方面,包含敏感信息且没有时间限制上下文的数据流(例如商业智能应用程序)更适合非对称协议。
不加密和不检查数据有什么风险?
2018 年 Equifax 数据泄露事件泄露了超过 1.48 亿人的个人身份信息 (PII)。 正确的加密和监视过程会减少这种情况发生的可能性。
过期的站点证书允许流量在十个月内不受检查地通过,从而使攻击者能够在不被发现的情况下窃取客户信息。 如果数据在上传前已加密,黑客只会暴露难以辨认的密文。
云数据的加密至关重要,但如果不进行调查,可能会产生盲点。 根据研究,现在超过 80% 的攻击发生在加密通道上。 可以通过检查技术解密、检查和获取网络流量的可见性来识别危险信号。
持续的云之旅需要更加关注加密
公司正在加大云投资力度,但近十分之七 (68%) 仍然认为其云投资尚未完成。 在选择了容易实现的目标(即将应用程序从本地服务器迁移到云服务)后,他们现在正在转移更复杂和关键业务的基础设施,但他们尚未理解其对数据安全的影响程度。
一些加密最佳实践可以帮助企业了解当今的安全需求:
- 避免将加密密钥与用于加密和解密的数据一起保留。 自带 KMS (BYOKMS) 也称为外部密钥管理 (EKM),提供最高级别的云加密安全性。
- 存储加密密钥的软件解决方案可能会在各个基础设施级别被损坏或意外暴露。 设置硬件主导的可信实施设置(例如硬件安全模块 (HSM))来存储密钥。
- 由于大多数组织都遵循多云策略,因此为每个云部署采用离散的策略、审核流程和个性化的安全措施会增加风险和成本。 集中管理所有公共云或 SaaS 加密的密钥是建议的最佳实践。
- 使用机密计算来内部开发处理敏感数据的应用程序。 在这里,应用程序在硬件驱动的安全执行设置中运行。 在这种情况下完全避免利用云,因为该应用程序尚未经过全面测试。
包起来
在当今数字化、高度互联的世界中,云数据泄露是不可避免的现实。 由于零日威胁,预防这些攻击可能并不总是可行。 但是,您可以在迁移到云之前通过加密来保护您的数据。 企业还需要通过专门针对云原生企业的安全访问服务边缘 (SASE) 等新兴安全解决方案来关注云内的工作负载保护。